超级会员免费看
隐匿于流量摘要的网络通信:技术与防御之道
在当今数字化时代,网络安全问题愈发严峻,网络异常检测技术成为保障网络安全的重要手段。众多网络异常检测技术借助流量摘要(如NetFlow记录)来检测和诊断攻击。然而,攻击者也在不断寻找绕过检测的方法。本文将介绍一种名为“摘要不可见网络(Summary-Invisible Networking,SIN)”的技术,探讨攻击者如何利用该技术在不改变常见流量摘要记录行为的情况下进行通信,以及防御者如何检测这些活动。
1. 网络异常检测与流量摘要
由于路由器对收集流量记录的支持,使用流量日志进行网络异常检测受到了越来越多的关注。常见的流量记录格式(如CISCO NetFlow)会提供共享相同地址信息(源地址、目的地址和端口)的数据包在一段时间内的摘要统计信息,包括数据包数量和字节数。更精细的摘要方法,如a - b - t记录,还会根据数据包大小和各方向数据包的交织情况重构连接并描述其行为,如交互型、批量文件传输型或类似网页型。这些摘要方法在流量分类和各种诊断方面,包括检测一些与安全相关的异常情况,都被证明是有用的。例如,简单的流量日志可用于发现伪装在标准端口(如HTTP端口80)上的点对点流量、各种恶意软件活动,甚至识别蠕虫的来源。还有一些异常检测技术会结合摘要记录的检查和有限的有效负载检查来查找僵尸网络的命令与控制(C&C)通道。
2. 摘要不可见网络(SIN)的提出
为了探究基于流量摘要的网络异常检测方法的局限性,我们从攻击者的角度出发,研究攻击者在企业网络中控制受感染主机时,如何在流量摘要记录中不留下痕迹地进行活动。我们提出了SIN技术,这是一种搭便车于现有流量的网络技术,使受感染主机(SINners)之间能够进
订阅专栏 解锁全文
扫一扫
919
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
